Ist Cisco Webex nicht sicher?
Affäre um ein abgehörtes Gespräch von Offizieren der Bundeswehr: Ist die Cisco-Plattform Webex unsicher, wie es vorschnell mancher Wettbewerber verkündet? Was Nutzer aus dem Vorfall lernen sollten.
Für den deutschen Videokonferenzanbieter Alfaview ist die aktuelle Abhöraffäre bei der Bundeswehr ein klarer Fall. Am Freitag vergangener Woche wurden Bundeswehroffiziere, die auf der Cisco-Videoplattform Webex über die Lieferung von Taurus-Waffensystemen an die Ukraine sprachen, von russischen Spionageleuten abgehört. Am Montag darauf ließ Alfaview per Pressemitteilung verkünden, dass "es völlig unverständlich" sei, "warum deutsche Behörden ein bekanntermaßen völlig unsicheres Videokonferenzsystem aus den USA nutzen." Das Marketing war in diesem Fall sehr schnell, schnell auch die Informationen und vor allem Schlüsse, die zusammengetragen wurden.
"Einfallstor für das Abhören jedweder Gespräche"
Es sei bekannt, so Alfaview, "dass Webex keine durchgängige und ausreichende Verschlüsselung bietet". In der Vergangenheit sei bereits über kritische Sicherheitslücken des Systems berichtet worden. So könne die Weitergabe von Daten an Drittanbieter bei der Nutzung von Webex nicht ausgeschlossen werden. "Vor allem aber ist die Teilnahme an Meetings per Telefoneinwahl oder Browser nicht sicher." Denn: "Die Telefoneinwahl unterliegt der Kontrolle der jeweiligen Nationalstaaten - sie ist ein Einfallstor für das Abhören jedweder Gespräche."
Schließlich die Entrüstung eines Webex-Wettbewerbers, der die Kritik an der Cisco-Plattform befeuert: "Oftmals empfehlen IT- und Beratungshäuser Webex-Instanzen, weil sie damit Millionen verdienen. Sicherheit spielt dabei oft eine untergeordnete Rolle. Es ist nicht nachvollziehbar, warum hunderte Millionen an Steuergeldern ins Silicon Valley fließen, anstatt deutsche oder europäische Anbieter zu fördern. Diese Mittel fehlen letztlich den deutschen und europäischen Unternehmen."
Soweit die Sicht von Alfaview, die aber eines nicht klären hilft: hat das System versagt oder die sie nutzenden Menschen - Bundeswehroffiziere und Geheimnisträger in einem, die zumindest wissen müssten, welche IT sie zur Kommunikation welcher Themen nutzen dürfen. Ist Webex technologisch gesehen eine unsichere Videokommunikationsplattform?
Die Fakten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits 2019 der Cisco-Lösung mit einem sogenannten C5-Testat den Einsatz im Bund ermöglicht, wie die Nachrichtenagentur dpa berichtet. C5 steht für Cloud Computing Compliance Controls Catalogue, kurz C5. Darin legt das BSI fest, welche Ansprüche Cloud-Anbieter zur Gewährleistung einer hohen Sicherheit erfüllen sollten.
Cisco Webex ist nicht unumstritten, wie alle Cloud-Plattformen US-amerikanischer Hersteller, weil Landesdatenschützer einen Verstoß gegen die DSGVO sehen, wenn bei der Nutzung Daten in die USA abfließen. Webex hat darauf reagiert und sagt, dass "bereits seit einiger Zeit eine vollständige EU-Datenresidenz" bestehe, wie CRN berichtete. Es geht also um Datenschutz, nicht nur um IT-Sicherheit, die nie 100 Prozent gewährleistet ist. Fakt ist: Eine Ende-zu-Ende-Verschlüsselung gewährleistet Webex. Selbst Cisco kann nicht die Inhalte einer Webex-Kommunikation entschlüsseln.
Technologisch sicher - aber nun kommt der Nutzer ins Spiel
Allerdings hängt der Grad des IT-Schutzes von Daten- und Sprachkommunikation bei vielen Cloud-Plattformen davon ab, wie die Parameter in den jeweiligen Systemen eingestellt werden. So auch bei Webex: Die durchgängige Verschlüsselung muss aktiviert sein. Sie funktioniert aber nur, wenn alle Teilnehmer über die Webex-App kommunizieren. Wird ein Teilnehmer per Telefon zugeschaltet, ist die End-to-End-Verschlüsselung nicht möglich. Genau das ist bei der besagten Webex-Konferenz der Luftwaffen-Bundeswehroffiziere passiert. Ein Teilnehmer hat sich aus einem Hotel in Singapur zugeschaltet. Sollte er sich in ein öffentliches Wlan verbunden haben, müsste einem so hochrangigen Offizier eigentlich klar sein, dass dies ein Sicherheitsrisiko ist.
Es geht um IT-Sicherheit, aber auch um IT-Kompetenz
Hinzu kommt, dass der Gastgeber eines Webex-Meetings einen Link zur Teilnahme an der Konferenz generiert, der per E-Mail an alle Teilnehmer verschickt wird. Gelangt die E-Mail in falsche Hände, kann ein Unbefugter Zugang zur Konferenz erhalten. Allerdings hätte das dem Luftwaffen-Inspekteur Ingo Gerhartz und den anderen Teilnehmern auffallen müssen, dass ein Fremder virtuell mit am Tisch saß.
Denkbar natürlich auch, "dass gar nicht Webex die Schwachstelle war, sondern klassische Abhörmethoden wie das Verwanzen des Hotelzimmers dazu geführt haben, dass die brisanten Inhalte in die Hände der russischen Geheimdienste fielen", heißt es im dpa-Bericht.
Fazit: Nicht eine einzelne Plattform wie Webex hat ein Sicherheitsproblem - wenn sie beim Workflow in ihrer Sicherheitsrelevanz nicht allen Nutzern klar ist. Es geht um grundsätzliche IT-Sicherheit und vertrauliche Kommunikation staatlicher Organe, die ihre Mitarbeiter für IT-Sicherheit auch sensibilisieren müssen. Noch immer steckt in den Köpfen von Entscheidern die falsche Vorstellung, dass IT-Sicherheit von Technologie gewährleistet wird. Niemand käme auf die Idee, bei einem Flugzeugabsturz nicht auch menschliches Versagen der Piloten in Erwägung zu ziehen. Bei einem IT-Sicherheitsvorfall wird der Faktor Mensch (Nutzer) dagegen oft ausgeblendet.
"Der Vorfall zeigt aber auch, dass wir immer noch das Defizit an IT-Sicherheitskompetenz abbauen müssen. Und zwar auf allen hierarchischen Ebenen. Und auch nicht bloß bei der Bundeswehr, sondern wirklich in allen anderen Behörden", sagt die Linken-Abgeordneten im Bundestag, Domscheit-Berg der dpa.